15 minute read
Documentele adoptate de CEPD în Aprilie 2021 / Documents adopted by the EDPB in April 2021
În timpul celei de-a 48-a plenare, desfășurată în data de 13 aprilie, organismul european specializat - CEPD, a adoptat următoarele documente1: l Avizul 14/2021 privind proiectul de decizie de punere în aplicare în conformitate cu Regulamentul (UE) 2016/679 (RGPD) privind protecția adecvată a datelor cu caracter personal în Regatul Unit. l Avizul 15/2021 privind proiectul de decizie de punere în aplicare în conformitate cu Directiva (UE) 2016/680 (DAL) privind protecția adecvată a datelor cu caracter personal în Regatul Unit. l Ghidul/Liniile directoare 3/2021 privind aplicarea articolului 65 alineatul (1) litera (a) RGPD. l Ghidul/Liniile directoare 8/2020 privind direcționarea căa infracțiunilor sau executării pedepselor, precum și libera circulație a acestor date, reglementate de Directiva UE 680/2016.
Prin Ghidul 3/2021, Comitetul European reglementează aspectele de natură procedurală și de conținut, vizând mecanismul de asigurarea coerenței aplicării RGPD de către autoritățile naționale de supraveghere, respectiv soluționarea litigiului, dintre autoritățile naționale de supraveghere - principală și vizată, de către Comitet, prin adoptarea unei decizii obligatorii.
Advertisement
Ghidul 8/2020 privind direcționarea către utilizatorii de social media, este adoptat în versiunea 2.0 de către Comitetul European, după consultarea publică. În continuare, prezentăm câteva aspecte importante tratate în cadrul ghiduAt its 48th plenary session, held on 13 April, the European Specialized Body - EDPB, adopted the following documents1: l Opinion 14/2021 on the draft implementing decision in accordance with Regulation (EU) 2016/679 (GDPR) on the adequate protection of personal data in the United Kingdom. l Opinion 15/2021 on the draft implementing decision in accordance with Directive (EU) 2016/680 (LED) on the adequate protection of personal data in the United Kingdom. l Guidelines 3/2021 on the application of Article 65 (1) (a) GDPR.
1 See at https://edpb.europa.eu/ news/news/2021/edpb -adopted-documents-48th-plenary_ro
l Guidelines 8/2020 on targeting social media users version 2.0 (after public consultation). l Statement 4/2021 on international agreements, including transfers.
The first two opinions mentioned, no. 14 and 15/2021, concern the general framework for cooperation on data protection for EU Member States in the bilateral relationship with the United Kingdom, which is regulated by the Implementing Decisions of the European Commission. The two opinions cover both civil matters, regulated by the RGPD, and those specialized in the field of law enforcement - the processing of personal data by the competent authorities for the purpose of preventing, investigating, detecting or pro-
Documentele adoptate de
CEPD în Aprilie 2021by Mugurel Olariu, RPD protectie date
tre utilizatorii de social media versiunea 2.0 (după consultarea publică). l Declarația 4/2021 privind acordurile internaționale, inclusiv transferurile.
Primele două avize menționate, nr.14 și 15/2021 privesc cadrul general de cooperare în materia protecției datelor pentru Statele Membre UE în relația bilaterală cu Marea Britanie, care se reglementează prin Deciziile de punere în aplicare ale Comisiei Europene. Prin cele două avize, sunt acoperite atât aspectele de natură civilă, reglementate de RGPD, cât și cele specializate din sfera de aplicarea legii - de prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale
1 A se vedea la https://edpb.europa.eu/news/news/2021/edpb-adopted-documents-48th-plenary_ro
past decade has been the rise of social media. More and more individuals use social media to stay in touch with family and friends, to engage in professional networking or to connect around shared interests and ideas.
For the purposes of these guidelines, social media are understood as online platforms that enable the development of networks and communities of users, among which information and content is shared.1 Additional functions provided by social media may include, for example, personalization, application integration, social plug-ins, user authentication, analytics and publishing. Social media functions may be a standalone offering of controllers or they may be integrated as part of a wider servi-
Documents adopted by the EDPB in April 2021
lui pentru operatorii care activează în zona de on-line, astfel:
O evoluție semnificativă în mediul on-line din ultimul deceniu a fost creșterea accesării și folosirii pe scară largă a rețelelor sociale. Tot mai mulți indivizi folosesc rețelele sociale pentru a rămâne în legătură cu familia și prietenii, pentru a se angaja în rețele profesionale sau pentru a se conecta în jurul intereselor și ideilor comune.
În sensul acestor orientări, rețelele sociale sunt înțelese ca platforme on-line care permit dezvoltarea rețelelor și a comunităților de utilizatori, printre care se împărtășesc informații și conținut. Funcțiile suplimentare oferite de social media pot include, de exemplu, personalizarea, integrarea aplicațiilor, plug-in-uri sociale, autentificarea utilizatorilor, analize și publicare. Funcțiile de social media pot fi o ofertă independentă de operatori sau pot fi integrate ca parte a unei oferte de servicii mai largi.
Caracteristicile cheie ale rețelelor de socializare includ capacitatea persoanelor de a se înregistra pentru a-și crea „conturi” sau „profiluri” pentru ei înșiși, pentru a interacționa unii cu alții prin partajarea de conținut generat de utilizator sau alt conținut și pentru a dezvolta conexiuni și rețele cu alți utilizatori. În plus față de platformele de socializare „tradiționale”, alte exemple de social media includ: platforme de întâlniri în care utilizatorii înregistrați se prezintă pentru a găsi parteneri cu care pot ieși în viața reală; platforme în care utilizatorii înregistrați își pot încărca propriile videoclipuri, pot comenta și conecta la videoclipurile altora; sau jocuri pe computer în care utilizatorii înregistrați pot juca împreună în grupuri, pot face schimb de informații sau își pot împărtăși experiențele și succesele în cadrul jocului.
secuting crimes, or execution of penalties, as well as the free movement of such data, regulated by EU Directive 680/2016.
Through Guidelines 3/2021, the European Board regulates procedural and content issues, aiming at the mechanism to ensure the coherence of the application of the GDPR by the national supervisory authorities, respectively the settlement of the dispute between the national supervisory authorities - main and targeted by the Board, by making a binding decision.
Guidelines 8/2020 on targeting social media users is adopted in version 2.0 by the European Board, after public consultation. Below, we present some important issues addressed in the guide for controllers operating in the online area, as follows:
A significant development in the online environment over the ce offering.
Key characteristics of social media include the ability for individuals to register in order to create “accounts” or “profiles” for themselves, to interact with one another by sharing user-generated or other content and to develop connections and networks with other users.2 In addition to “traditional” social media platforms, other examples of social media include: dating platforms where registered users present themselves to find partners they can date in real life; platforms where registered users can upload their own videos, comment on and link to other’s videos; or computer games where registered users may play together in groups, exchange information or share their experiences and successes within the game.
As part of their business model, many social media providers
Ca parte a modelului lor de afaceri, mulți furnizori de social media oferă servicii de direcționare. Serviciile de direcționare fac posibilă comunicarea anumitor mesaje de către persoane fizice sau juridice („vizați”) utilizatorilor de social media pentru a promova interesele comerciale, politice sau de altă natură. Direcționarea a fost definită ca „actul de a direcționa sau de a viza ceva către un anumit grup de oameni” și „actul de a încerca să apeleze la o persoană sau grup sau să-i influențeze într-un fel”. O caracteristică distinctivă a direcționării este potrivirea percepută între persoana sau grupul care este vizate și mesajul care este livrat. Presupunerea de bază este că, cu cât se potrivește mai bine, cu atât este mai mare rata de recepție (conversie) și, prin urmare, campania de direcționare (rentabilitatea investiției) este mai eficientă.
Mecanismele de vizare a utilizatorilor de social media au crescut în sofisticare în timp. Organizațiile au acum capacitatea de a viza persoane pe baza unei game largi de criterii. Astfel de criterii ar fi putut fi dezvoltate pe baza datelor cu caracter personal pe care utilizatorii le-au furnizat sau le-au distribuit în mod activ, cum ar fi statutul relației lor. Totuși, tot mai mult, criteriile de direcționare sunt, de asemenea, dezvoltate pe baza datelor cu caracter personal care au fost observate sau deduse, fie de către furnizorul de social media sau de către terți, și colectate (agregate) de platformă sau de alți actori (de exemplu, brokeri de date) a sustine opțiuni de direcționare a anunțurilor. Cu alte cuvinte, direcționarea către utilizatorii de social media implică nu doar actul de „selectare” a indivizilor sau grupurilor de indivizi care sunt destinatarii destinați ai unui anumit mesaj („publicul țintă”), ci mai degrabă implică un întreg proces realizat de un set de părți interesate care are ca rezultat transmiterea de mesaje specifice persoanelor cu rețele sociale conturi. Mesajele livrate constau de obicei din imagini și text, dar pot implica și formate video și / sau audio.
Combinația și analiza datelor provenite din diferite surse, împreună cu natura potențial sensibilă a datelor cu caracter personal prelucrate în contextul rețelelor sociale, creează riscuri pentru drepturile și libertățile fundamentale ale indivizilor. Astfel, datele cu caracter personal prelucrate în contextul rețelelor de socializare pot constitui „categorii speciale de date cu caracter personal” în conformitate cu articolul 9 RGPD, se pot referi la persoane vulnerabile sau, în alt mod, pot avea un caracter foarte personal. A se vedea, de asemenea, Grupul de lucru art.29 pentru protecția datelor, liniile directoare privind evaluarea impactului asupra protecției datelor (DPIA) și determinarea faptului dacă prelucrarea „va avea ca rezultat un risc ridicat” în sensul Regulamentului 2016/679, WP 248 rev. 01, p. 9. Din perspectiva protecției datelor, multe riscuri sunt legate de posibila lipsă de transparență și control al utilizatorilor. Pentru persoanele în cauză, prelucrarea subadiacentă a datelor cu caracter personal care are ca rezultat livrarea unui mesaj vizat este adesea opacă. Mai mult, poate implica utilizări neprevăzute sau nedorite ale datelor cu caracter personal, care ridică întrebări nu numai în ceea ce privește legislația privind protecția datelor, ci și în legătură cu alte drepturi și libertăți fundamentale. Recent, direcționarea către rețelele sociale a câștigat un interes public sporit și un control reglementar în contextul luării deciziilor democratice și a proceselor electorale2 .
De asemenea, în finalul ghidului, Comitetul arată: Când vine vorba de evaluarea nivelului de responsabilitate al furnizorului de social media, CEPD observă că mai multe mecanisme de direcționare se bazează pe profilare și / sau alte activități de prelucrare întreprinse anterior de furnizorul de social media. Furnizorul de social media este cel care decide să prelucreze datele personale ale utilizatorilor săi în așa fel încât să dezvolte criteriile de direcționare pe care le pune la dispoziția persoanelor vizate. Pentru a face acest lucru, furnizorul de social media a luat în mod independent anumite decizii cu privire la prelucrare, cum ar fi offer targeting services. Targeting services make it possible for natural or legal persons (“targeters”) to communicate specific messages to the users of social media in order to advance commercial, political, or other interests. 3 Targeting has been defined as “the act of directing or aiming something at a particular group of people” and “the act of attempting to appeal to a person or group or to influence them in some way”. A distinguishing characteristic of targeting is the perceived fit between the person or group being targeted and the message that is being delivered. The underlying assumption is that the better the fit, the higher the reception rate (conversion) and thus the more effective the targeting campaign (return on investment).
Mechanisms to target social media users have increased in sophistication over time. Organisations now have the ability to target individuals on the basis of a wide range of criteria. Such criteria may have been developed on the basis of personal data which users have actively provided or shared, such as their relationship status. Increasingly, however, targeting criteria are also developed on the basis of personal data which has been observed or inferred, either by the social media provider or by third parties, and collected (aggregated) by the platform or by other actors (e.g. data brokers) to support ad-targeting options. In other words, the targeting of social media users involves not just the act of “selecting” the individuals or groups of individuals that are the intended recipients of a particular message (the ‘target audience’), but rather it involves an entire process carried out by a set of stakeholders which results in the delivery of specific messages to individuals with social media accounts.The messages delivered typically consist of images and text, but may also involve video and/or audio formats. The combination and analysis of data originating from different sources, together with the potentially sensitive nature
categoriile de date care vor fi prelucrate, ce criterii de direcționare vor fi oferite și cine va avea acces (la ce tipuri de) date cu caracter personal care sunt procesate în contextul unei anumite campanii de direcționare. Astfel de activități de prelucrare trebuie să respecte, de asemenea, RGPD, înainte de a oferi servicii de direcționare.
Exemplele menționate în paragrafele precedente indică importanța repartizării clare a responsabilităților în acordul comun al operatorului între furnizorii de rețele sociale și persoanele vizate. Chiar dacă termenii aranjamentului ar trebui, în orice caz, să reflecte nivelul responsabilității fiecărui actor, este necesar un aranjament cuprinzător care să reflecte în mod corespunzător rolul și capacitățile fiecărei părți, nu numai pentru a se conforma articolului 26 din RGPD, ci și pentru a se conforma cu alte reguli și principii din RGPD.
În cele din urmă, CEPD remarcă faptul că, în măsura în care condițiile acordului comun dintre furnizorul de rețele sociale și destinatar nu obligă autoritățile de supraveghere, autoritățile de supraveghere își pot exercita competențele și puterile în legătură cu oricare dintre operatorii comuni, atâta timp cât operatorul comun în cauză este supus competenței autorității de supraveghere respective3 .
Prin Declarația 4/2021, CEPD invită Statele Membre UE să evalueze și, acolo unde este necesar, să își revizuiască acordurile internaționale care implică transferuri internaționale de date cu caracter personal, precum cele referitoare la impozitare (de exemplu la schimbul automat de date cu caracter personal în scopuri fiscale), securitate socială, asistență juridică reciprocă, cooperare polițienească etc., care au fost încheiate înainte de 24 mai 2016 (pentru acordurile relevante pentru RGPD) sau 6 mai 2016 (pentru acordurile relevante pentru DAL). Această revizuire ar trebui făcută pentru a determina dacă, în timp ce urmăresc interesele publice importante acoperite de acorduri, ar putea fi necesară o aliniere suplimentară cu legislația actuală a Uniunii și jurisprudența privind protecția datelor, precum și cu orientările CEPD. of personal data processed in the context of social media, creates risks to the fundamental rights and freedoms of individuals. Personal data processed in the context of social media may constitute ‘special categories of personal data’ pursuant to Article 9 GDPR, relate to vulnerable individuals, or otherwise be of a highly personal nature. See also Article 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, WP 248 rev. 01, p. 9. From a data protection perspective, many risks relate to the possible lack of transparency and user control. For the individuals concerned, the underlying processing of personal data which results in the delivery of a targeted message is often opaque. Moreover, it may involve unanticipated or undesired uses of personal data, which raise questions not only concerning data protection law, but also in relation to other fundamental rights and freedoms. Recently, social media targeting has gained increased public interest and regulatory scrutiny in the context of democratic decision making and electoral processes2 .
The Committee also states at the end of the guidelines: When it comes to assessing the level of responsibility of social media provider, the EDPB observes that several targeting mechanisms rely on profiling and/or other processing activities previously undertaken by the social media provider. It is the social media provider who decides to process personal data of its users in such a manner to develop the targeting criteria which it makes available to targeters. In order to do so, the social media provider has independently made certain decisions regarding the processing, such as which categories of data shall be processed, which targeting criteria shall be offered and who shall have access (to what types of) personal data that is processed in the context of a particular targeting campaign. Such processing activities must also comply with the GDPR, prior to the offering of any targeting services.
The examples mentioned in the preceding paragraphs indicate the importance of clearly allocating responsibilities in the joint controller arrangement between social media providers and targeters. Even though the terms of the arrangement should in any case mirror the level of responsibility of each actor, a comprehensive arrangement which duly reflects the role and capabilities of each party is necessary not only to comply with Article 26 of the GDPR, but also for complying with other rules and principles of the GDPR.
Finally, the EDPB notes that insofar as the terms of the joint arrangement between the social media provider and the targeter do not bind supervisory authorities, supervisory authorities may exercise their competences and powers in relation to either joint controller, as long as the joint controller in question is subject to the competence of that supervisory authority3 .
By Statement 4/2021, the EDPB invites EU Member States to assess and, where necessary, review their international agreements that involve international transfers of personal data, such as those relating to taxation (e.g. to the automatic exchange of personal data for tax purposes), social security, mutual legal assistance, police cooperation, etc. which were concluded prior to 24 May 2016 (for the agreements relevant to the GDPR) or 6 May 2016 (for the agreements relevant to the LED). This review should be done in order to determine whether, while pursuing the important public interests covered by the agreements, further alignment with current Union legislation and case law on data protection, as well as EDPB guidance might be needed.
